Как настроить смартфоны и ПК. Информационный портал
  • Главная
  • Программы
  • Как включить движок виртуализации. Что такое виртуализация процессора

Как включить движок виртуализации. Что такое виртуализация процессора

Технология виртуализации позволяет на одном физическом компьютере создавать несколько виртуальных со своими операционными системами. Гостевые ОС будут использовать выделенные им ресурсы реального ПК в установленных пределах. При этом нет необходимости разбивать диск на разделы и отсутствует опасность повредить загрузчик. Личные данные пользователя не затрагиваются и находятся в безопасности. Если вам интересны эти возможности, оставайтесь с нами. Сегодня мы расскажем, как включить виртуализацию в Windows 10.

Разработанный Microsoft гипервизор под названием Hyper-V входит в состав системы как дополнительный компонент. Использовать его можно только в x64 bit OS Windows 10 Enterprise или Pro. В корпоративной среде Microsoft рекомендует даже конкретные ноутбуки HP и Lenovo. Пользователям редакции «Домашняя» и всех x32 bit систем такая возможность недоступна.

  1. Быстро узнать параметры установленной Windows можно воспользовавшись клавиатурным сочетанием Win + X . В развернувшемся меню выбираем отмеченный рамкой пункт.

  1. Открывшееся окно содержит два блока сведений. В первом смотрим объем установленной памяти и разрядность. Hyper V требует наличия не менее 4 Gb RAM. Во втором блоке обращаем внимание на выпуск ОС.

  1. По системным параметрам компьютер подходит для установки и запуска ВМ Майкрософт. Дополнительно для Hyper-V требуется, чтобы процессор поддерживал вложенный пейджинг по технологии SLAT. Intel реализовал ее в линейке Core i3/5/7, а AMD начиная с первых 64-битных Opteron. В характеристиках устройства модель процессора указана, поэтому необходимости проверять ее в БИОС или UEFI нет. Убедиться в поддержке технологий «Хайпер» мы сможем с помощью командной строки. Вводим команду «systeminfo» и ищем обозначенный на скриншоте блок данных.

Как видим, все необходимые требования выполнены и проверку мы произвели без выхода в БИОС. Убедившись, что аппаратная конфигурация подходит для использования виртуалки, можем переходить к установке.

Установка

Hyper-V является компонентом операционной системы. Его нельзя скачать и поставить отдельно. Можно только включить использование в среде Windows. Рассмотрим несколько вариантов подключения Microsoft Virtual Machine.

Графический режим

Начнем с использования графического режима, как наиболее привычного пользователям.

  1. Сочетанием клавиш Win + R вызываем диалоговое окно «Выполнить» и вводим в текстовое поле команду «control» как показано на скриншоте.

  1. Результатом наших действий станет появление классической панели управления Windows. Ищем указанный пункт и открываем его.

  1. В этом окне воспользуемся навигационным меню, отвечающим за работу с компонентами операционной системы.

  1. Включаем Hyper-V. Разворачиваем ветку «Гипер» и убеждаемся, что галочки установлены напротив всех ее компонентов. Завершаем работу в этом разделе нажатием кнопки «ОК».

  1. Windows выполняет внутренний поиск и установку заказанных компонентов.

  1. Завершив внесение изменений в программную конфигурацию, система предложит выполнить перезагрузку.

На этом установка заканчивается и ПК готов к использованию встроенных средств виртуализации.

Командная строка

Установку компонентов гипервизора также можно выполнить, используя возможности командной строки.

  1. Открываем меню Power User и запускаем PowerShell или оболочку CMD от имени администратора.

  1. Вводим в открывшемся окне следующую строку:
Enable-WindowsOptionalFeature -Online -FeatureName:Microsoft-Hyper-V –All

  1. Windows обрабатывает полученную команду на установку дополнительных компонентов.

  1. В завершение нам будет предложено подтвердить внесенные изменения и выполнить перезагрузку. Вводим английскую букву «Y» в любом регистре.

Компьютер немедленно выйдет из графического режима и отобразит стандартное окно работы с обновлениями. Запустится система с включенным Hyper-V.

Последний способ подразумевает использование средства развертывания и управления образами Windows.

  1. Запускаем командную строку с административными правами. Вводим следующую строку:
DISM /Online /Enable-Feature /All /FeatureName:Microsoft-Hyper-V

  1. Выполнив установку компонентов, DISM запрашивает подтверждение.

Ввод буквы «Y» приводит к немедленной перезагрузке PC, в ходе которой выполняется начальная настройка Hyper-V.

Использование

Завершив установку, можно начинать создание новой виртуальной машины.

  1. Новый компонент размещается в разделе «Средства администрирования» меню «Пуск».

  1. Диспетчер Hyper-V представляет собой стандартную консоль управления Windows. Включение и настройка операций выполняются в области «Действие». Выбираем отмеченный пункт чтобы запустить мастер.

  1. Развернется меню выбора из трех пунктов. Выбираем обозначенный рамкой.

  1. Первое окно информационное. Поставив галочку в указанном месте, вы при последующих запусках его больше не увидите. Чтобы создать машину с собственной конфигурацией, выбираем отмеченную рамкой кнопку.

  1. Здесь мы задаем имя создаваемой машине и можем изменить место хранения ее файлов.

  1. Поколение следует выбирать исходя из разрядности предполагаемой к установке ОС. Для 32-битных версий оставляем первое, современные же дистрибутивы относятся ко второму.

  1. Размер выделяемой памяти зависит от физических возможностей ПК. Самым простым решением будет выделение 2 Гб (2048 МБ). Это минимальный объем, нужный для работы 64-битной Windows. Хватит его и для установки любой версии Linux.

  1. В настройках сети откроем выпадающее меню и выберем указанный параметр. VM Manager автоматически настроит для виртуальной машины соединение, используя текущее интернет-подключение.

  1. Размер диска, который будет использован для установки, можно ограничить 32 Гб. Этого хватит для запуска гостевой ОС с набором программ.

  1. Согласимся с предложением установить гостевую систему позднее. Сделать это можно, используя носитель на DVD или ISO-образ.

Виртуальная машина готова. Чтобы отключить Hyper-V и удалить гостевые системы необходимо отменить использование этого компонента Windows в панели управления.

Альтернатива

Владельцы Windows Home, которым недоступен Hyper-V, могут пользоваться бесплатным альтернативным решением от Oracle. В отличие от продукта Microsoft приложение VirtualBox работает в 32-битных системах, имеет больше возможностей и менее требовательно к ресурсам. Для него не требуется специальный набор процессорных инструкций.

Запускаться в VirtualBox будут практически все существующие операционные системы, чего не скажешь о Hyper-V. В нем выбор ограничен несколькими версиями Windows, а с недавних пор еще и Linux.

В заключение

Для комфортного использования виртуальных машин не забывайте, что они расходуют физические ресурсы компьютера. В идеале ПК должен обладать 8 Гб памяти, чтобы обеспечить одновременную работу текущей и гостевой ОС с запущенными приложениями.

Видео

В помощь пользователям, которые хотят лучше разобраться в настройках виртуализации Windows 10, ниже приведены ссылки на видео.

Сегодня все большее количество современных компьютерных систем обращают свое внимание на технологии виртуализации. Правда, не все достаточно четко себе представляют, что это такое, зачем это нужно и как решать вопросы ее включения или практического использования. Сейчас будет рассмотрено, как в БИОСе включить виртуализацию простейшим методом. Сразу отметим, что эта методика применима абсолютно ко всем существующим системам, в частности, к BIOS и сменившей его системе UEFI.

Что такое виртуализация и зачем она нужна?

Прежде чем приступить к непосредственному решению проблемы, как в БИОСе включить виртуализацию, посмотрим, что собой представляет эта технология и зачем она нужна.

Сама технология предназначена для использования в любой операционной системе так называемых виртуальных машин, которые могут эмулировать настоящие компьютеры со всеми их «железными» и программными компонентами. Иными словами, в основной системе можно создать некий с подбором процессора, оперативной памяти, видео- и саундкартой, сетевым адаптером, жестким диском, оптическим носителем и еще бог знает с чем, включая установку гостевой (дочерней) «операционки», который ничем не будет отличаться от реального компьютерного терминала.

Разновидности технологий

Если кто не знает, технологии виртуализации были созданы ведущими производителями процессоров - корпорациями Intel и AMD, которые и сегодня не могут поделить пальму первенства в этой области. На заре эпохи созданный гипервизор (программное обеспечение для управления виртуальными машинами) от Intel не отвечал всем требованиям по уровню производительности, поэтому-то и начались разработки поддержки виртуальных систем, которые должны были быть «зашиты» в самих процессорных чипах.

У Intel данная технология получила название Intel-VT-x, а у AMD - AMD-V. Таким образом, поддержка оптимизировала работу центрального процессора, не влияя на основную систему.

Само собой разумеется, что включать данную опцию в предварительных настройках BIOS следует только в том случае, если на физической машине предполагается использование машины виртуальной, например, для тестирования программ или прогнозирования поведения компьютерной системы с различными «железными» компонентами после установки той или иной операционной системы. В противном случае такую поддержку можно и не задействовать. К тому же по умолчанию она вообще выключена и, как уже говорилось, на производительность работы основной системы не оказывает абсолютно никакого влияния.

Вход в БИОС

Что же касается систем BIOS или UEFI, в любом компьютере или ноутбуке они есть, причем независимо от сложности установленного оборудования. Сам БИОС на компьютере представляет собой небольшой чип на материнской плате, который отвечает за тестирование «железа» в момент включения терминала. В нем же, несмотря на память всего около 1 Мб, сохраняются основные настройки и характеристики оборудования.

В зависимости от версии BIOS или производителя, вход может осуществляться несколькими различными методами. Самым распространенным является использование клавиши Del сразу же после включения компьютера или ноутбука. Однако встречаются и другие методы, например, клавиши F2, F12 и т. д.

Как в БИОСе включить виртуализацию простейшим способом?

Теперь определимся с некоторыми основными параметрами и меню. Отталкиваемся от того, что вход в БИОС на компьютере уже произведен. Здесь имеется несколько основных разделов, но в данном случае нас интересует все, что относится к процессорному чипу.

Обычно такие опции содержатся в меню расширенных настроек (Advanced) или в разделе безопасности (Security). Называться они тоже могут по-разному, но, как правило, это что-то вроде Processor или BIOS Chipset (хотя могут встречаться и другие названия).

Итак, теперь вопрос, как в БИОСе включить виртуализацию, можно рассматривать вплотную. В вышеуказанных разделах имеется специальная строка Virtualization Technology (в случае Intel к основному названию добавляется название корпорации). При входе в соответствующее меню будут показаны два доступных параметра: Enabled и Disabled. Как уже понятно, первый - это включенный режим виртуализации, второй - полное отключение.

То же самое касается и системы UEFI, в которой влючение данной опции выполняется полностью аналогичным способом.

Теперь, когда применена установка БИОС на параметр включенного режима, остается только сохранить изменения (F10 или команда Save & Exit Setup), нажать клавишу подтверждения Y, соответствующую английскому слову Yes. Перезагрузка системы с вновь сохраненными параметрами стартует автоматически.

Что следует знать, кроме этого?

Как видим, процедура включения виртуализации в BIOS достаточно проста. Однако здесь следует учитывать некоторые тонкости, связанные с возможным отключением этой функции. Дело в том, что при использовании виртуальных машин вроде WMware Virtual Machine, Virtual PC, VirtualBox или даже «родного» модуля Microsoft под названием Hyper-V эта опция должна быть задействована в обязательном порядке даже при включенной поддержке компонентов Windows непосредственно в настройках системы.

Большей частью это касается более новых модификаций Windows, начиная с «семерки». В «экспишке» или «Висте» это обязательным условием не является. Хотя если такие «операционки» установлены на новейшем «железе», включение поддержки тоже может потребоваться. Впрочем, маловероятно, что пользователь на такую машину будет устанавливать морально устаревшую «операционку», которая не позволит «выжать» из компьютерного «железа» максимум того, на что оно способно. Так что лучше использовать новейшие «железные» компоненты в сочетании не только с самыми последними версиями операционных систем, но и даже с системами диагностики и управлениями UEFI, пришедшими на смену так долго служившему БИОСу.

Как в БИОСе включить виртуализацию? Таким вопросом задавалось большое количество пользователей персональных компьютеров. Некоторые люди, вероятно, слышали о такой технологии, но не понимают, какие преимущества она может предоставить, и в чем она вообще заключается. Эти вопросы будут рассмотрены в данной статье.

Что такое виртуализация?

Прежде чем рассказывать, как включить поддержку виртуализации в БИОСе, нужно объяснить, что это такое. В компьютерных технологиях этим термином называется моделирование аппаратной части при помощи программных методов. Благодаря технологии виртуализации можно создавать некоторое количество виртуальных компьютеров, то есть таких, которые моделируются программным образом. При этом используется только один достаточно мощный компьютер физического типа.

Основные преимущества

Чем хороша виртуализация? Вот ее основные преимущества:

  • Повышается эффективность использования аппаратной части.
  • Уменьшаются материальные затраты.
  • Оптимизируется распределение ресурсов.
  • Безопасность работы становится выше.
  • Более упрощенное администрирование.
  • Повышенная надежность.

Для того чтобы создавать виртуальные системы, используется специальное программное обеспечение, которое называется гипервизором. Но из-за некоторых особенностей старых процессоров, построенных на архитектуре Intel, гипервизор не мог использовать их вычислительные мощности максимально эффективно для того, чтобы создавать виртуальные машины.

По этой причине ведущие компании, занимающиеся разработкой процессоров для персональных компьютеров, создали технологию аппаратной виртуализации. Она способна оптимизировать работу процессоров так, чтобы в значительной мере увеличить эффективность программного обеспечения для этого процесса. Технология поддержки аппаратной виртуализации от Intel называется Intel-VT, а у компании AMD она же носит название AMD-V.

Принцип работы

В основу заложено разделение процессора на гостевую и мониторную части. К примеру, при переключении с основной ОС на гостевую процессор автоматически переключается в гостевое состояние. При этом он показывает системе такие значения регистра, какие она хочет видеть, и которые ей необходимы для стабильной работы. Таким образом, процессор является «обманщиком», что избавляет систему от всяческих ухищрений. Гостевая ОС работает напрямую с процессором, за счет чего виртуальная машина работает гораздо быстрее, чем на ПК без поддержки виртуализации.

Поддержка технологии

Так как аппаратная виртуализация интегрирована в центральный процессор, то для того, чтобы пользователю можно было максимально использовать ее преимущества, необходимо, чтобы и его компьютер поддерживал данную технологию на процессорном уровне. Помимо этого, также необходимо, чтобы технология была реализуема со стороны операционной системы и БИОСа. Если последняя поддерживает аппаратную виртуализацию, пользователь получает возможность задействовать или же отключить ее в настройках. Необходимо учесть, что бывают чипсеты для материнских плат, которые базируются на процессорах AMD, и в которых нет возможности выключить поддержку этой технологии.

Как в БИОСе включить виртуализацию?

Для включения и выключения данной опции в БИОСе имеется специальная функция, которая так и называется - Virtualization Technology. Как правило, эта опция находится в разделах, связанных с центральным процессором или чипсетом.

Итак, как в БИОСе включить виртуализацию? Очень просто. Обычно установка значения Enabled дает возможность задействовать технологию, а значение Disabled - отключить. Необходимо иметь в виду, что активация настройки оказывает влияние только на производительность виртуальных компьютеров, которые работают в рамках гипервизора. На производительность всех программ операционной системы никакого влияния не оказывается.

Разные производители используют свои настройки, но все равно нетрудно включить виртуализацию в БИОСе (Asus, Lenovo и другие имеют схожие настройки).

Заключение

Мы выяснили, как в БИОСе включить виртуализацию. Данная технология является очень мощным средством, которое позволяет расширить возможности компьютеров и намного эффективнее использовать имеющееся в распоряжении аппаратное обеспечение. Большая часть современных персональных компьютеров обладает процессорами, в которые встроено данное решение. Это позволяет повысить их производительность, если используются виртуальные машины. Кроме этого, в большинстве ПК существует возможность настраивать поддержку аппаратной виртуализации.

Некоторые пользователи интересуется тем, как включить виртуализацию без БИОСа. Это сделать невозможно, так как производители аппаратного обеспечения внедряют технологию именно в железо. А прямой доступ к нему имеет только БИОС.

Другие идентичные названия опции: Vanderpool Technology, VT Technology.

Опция Virtualization Technology (технология виртуализации) предназначена для включения режима поддержки процессором технологии аппаратной виртуализации. Данная опция может принимать всего два значения – Enabled (Включено) и Disabled (Выключено).

Что же вообще означает термин «виртуализация»? Технология виртуализации позволяет пользователю иметь множество виртуальных компьютеров на одном-единственном физическом компьютере. Естественно, что такой подход зачастую имеет немало преимуществ по сравнению с наличием нескольких физических компьютеров, прежде всего в плане сокращения расходов на оборудование и уменьшения энергопотребления.

Для создания виртуальных компьютеров требуется специальное программное обеспечение. Наиболее известно такое ПО для виртуализации, как VMWare и Microsoft Virtual PC.

Сердцем любой системы виртуализации является технология, носящая название диспетчера виртуальных машин (Virtual Machine Monitor, VMM). Эта технология создает прочную основу для управления виртуализацией. В функции диспетчера виртуальных машин (который также иногда называют гипервизором) входит управление в реальном времени ресурсами компьютера и распределение их между виртуальными системами. Гипервизор может осуществлять перенос данных между системами и создавать виртуальные диски.

Диспетчер виртуальных машин позволяет запускать на одном компьютере либо несколько операционных систем (такие виртуальные операционные системы обычно называются гостевыми), либо несколько копий одной операционной системы. Также в его задачи входит управление ресурсами памяти, процессора и устройств ввода-вывода в целях распределения их между различными виртуальными компьютерами. Таким образом, гипервизор может позволить нескольким операционным системам использовать один и тот же процессор, что повысит эффективность его работы.

Однако долгое время технология виртуализации была основана лишь на программных методах, а на аппаратном уровне ее поддержка почти отсутствовала, в частности, из-за отсутствия четких стандартов. Хотя одной из первых реализаций аппаратной виртуализации стала поддержка виртуального режима работы процессора Intel 8086, встроенная еще в процессор 80386 и в последующие процессоры фирмы Intel(подробнее с процессорами можно познакомиться ), тем не менее, возможности данной технологии были ограничены. Сегодня ведущие производители процессоров, Intel и AMD предлагают собственные технологии виртуализации, рассчитанные уже на защищенный режим работы процессора.

Вариант технологии виртуализации от Intel носит название VT-x. Он появился в 2005 г. Эта технология внедрила в серверные и клиентские платформы ряд улучшений, обеспечивающих поддержку программных средств виртуализации. Технология VT-x позволяет различным операционным системам и приложениям работать в независимых разделах и способна превратить компьютер в набор виртуальных операционных систем.

Технология виртуализации AMD носит название AMD-V. Впервые она появилась в процессорах Athlon 64 в 2006 г. Эта технология позволяет взять на себя некоторые задачи, выполняемые гипервизором программным способом и упростить их благодаря встроенному в процессоры AMD улучшенному набору инструкций.

По сравнению с программным методом виртуализации аппаратная виртуализация имеет ряд преимуществ. Дело в том, что операционные системы, предназначенные для платформы Intel, разрабатывались таким образом, что операционная система должна была иметь прямой доступ к аппаратным ресурсам компьютера. Программная виртуализация эмулировала необходимое оборудование, а технологии аппаратной виртуализации позволили операционной системе осуществлять прямой доступ к аппаратным ресурсам, избегая какой-либо эмуляции.

Процессорные расширения виртуализации предлагают новые подходы к управлению виртуализацией. Кратко суть улучшений можно описать следующим образом. Операционные системы обеспечивают различные уровни доступа к ресурсам, которые носят название колец защиты. Эти кольца представляет собой иерархию привилегий внутри архитектуры компьютерной системы. Наиболее привилегированным уровнем обычно является нулевой. Этот уровень также может осуществлять доступ к ресурсам напрямую.

В традиционной архитектуре Intel x86 ядро операционной системы может осуществлять прямой доступ к процессору на уровне 0. Однако в среде программной виртуализации гостевая операционная система не может осуществлять работу на нулевом уровне, поскольку он занят гипервизором. Таким образом, гостевая операционная система может выполняться лишь на уровне 1.

Но тут есть одна загвоздка – некоторые инструкции процессора могут выполняться лишь на уровне 0. Эту проблему можно решить несколькими способами, но ни один из них не является удовлетворительным. Например, операционная система может быть перекомпилирована, чтобы избежать подобных ситуаций, но это можно осуществить лишь в том случае, если доступны исходные коды данной операционной системы. Такой подход иногда применяется и носит название паравиртуализации.

Но в тех случаях, когда паравиртуализация невозможна, обычно используется другое решение. Диспетчер виртуальных машин просто перехватывает нужные инструкции гостевой операционной системы и заменяет их на безопасные. Само собой, что такой подход приводит к значительному падению производительности. Соответственно, программные виртуальные машины часто получаются намного медленнее их реальных аналогов.

Поэтому технологии аппаратной виртуализации от Intel и AMD содержат не только новые процессорные инструкции, но и, что имеет решающее значение, позволяют использовать новый уровень привилегий. Теперь гипервизор может работать на уровне более низком, чем нулевой (его можно обозначить, как –1), в то время, как гостевой операционной системе предоставляется в полное распоряжение нулевой уровень. Таким образом, гипервизор был избавлен от ненужной кропотливой работы, а производительность виртуальных машин значительно увеличилась.

Технологии Intel и AMD не во всем идентичны, однако они предлагают схожие преимущества и функциональность. Помимо увеличения производительности виртуальных машин, они позволяют увеличить количество виртуальных машин на одной физической системе, а также увеличить количество пользователей виртуальных машин.

Стоит ли включать?

Опция Virtualization Technology (иногда называемая просто Virtualization) позволяет пользователю компьютера на уровне центрального процессора. Выбор значения Enabled включает эту поддержку, а значения Disabled – выключает.

Опцию Virtualization Technology следует включать лишь в том случае, если вы используете свой компьютер для запуска виртуальных машин. Включение аппаратной поддержки виртуальных машин способно значительно повысить производительность их работы. Однако в том случае, если виртуальные машины не используются, включение опции никак не повлияет на производительность компьютера.

Виртуализация может понадобиться тем пользователям, которые работают с различными эмуляторами и/или виртуальными машинами. И те и те вполне могут работать без включения данного параметра, однако если вам требуется высокая производительность во время использования эмулятора, то его придётся включить.

Важное предупреждение

Изначально желательно убедиться, есть ли у вашего компьютера поддержка виртуализации. Если её нет, то вы рискуете просто зря потратить время, пытаясь произвести активацию через BIOS. Многие популярные эмуляторы и виртуальные машины предупреждают пользователя о том, что его компьютер поддерживает виртуализацию и если подключить этот параметр, то система будет работать значительно быстрее.

Если у вас не появилось такого сообщения при первом запуске какого-нибудь эмулятора/виртуальной машины, то это может значить следующее:

  • Виртуализация уже подключена по умолчанию (такое бывает редко);
  • Компьютер не поддерживает этот параметр;
  • Эмулятор не способен произвести анализ и оповестить пользователя о возможности подключения виртуализации.

Включение виртуализации на процессоре Intel

Воспользовавшись этой пошаговой инструкцией, вы сможете активировать виртуализацию (актуальна только для компьютеров, работающих на процессоре Intel):


Включение виртуализации на процессоре AMD

Пошаговая инструкция выглядит в этом случае похожим образом:


Включить виртуализацию на компьютере несложно, для этого нужно лишь следовать пошаговой инструкции. Однако если в BIOS нет возможности включить эту функцию, то не стоит пытаться это сделать при помощи сторонних программ, так как это не даст никакого результата, но при этом может ухудшить работу компьютера.

Мы рады, что смогли помочь Вам в решении проблемы.

Опрос: помогла ли вам эта статья?

Да Нет

lumpics.ru

Virtual Secure Mode (VSM) в Windows 10 Enterprise

В Windows 10 Enterprise (и только в этой редакции) появился новый компонент Hyper-V под названием Virtual Secure Mode (VSM). VSM – это защищённый контейнер (виртуальная машина), запущенный на гипервизоре и отделенный от хостовой Windows 10 и ее ядра. Критичные с точки зрения безопасности компоненты системы запускаются внутри этого защищенного виртуального контейнера. Никакой сторонний код внутри VSM выполняться не может, а целостность кода постоянно проверяется на предмет модификации. Такая архитектура позволяет защитить данные в VSM, даже если ядро хостовой Windows 10 скомпрометировано, ведь даже ядро не имеет прямого доступа к VSM.

Контейнер VSM не может быть подключен к сети, и никто не может получить административные привилегии в нем. Внутри контейнера Virtual Secure Mode могут храниться ключи шифрования, авторизационные данные пользователей и другая критичная с точки зрения компрометация информация. Таким образом, атакующий теперь не сможет с помощью локально закэшированных данных учетной записи доменных пользователей проникнуть внутрь корпоративной инфраструктуры.

Внутри VSM могут работать следующие системные компоненты:

  • LSASS (Local Security Subsystem Service) – компонент, отвечающий за авторизацию и изоляцию локальных пользователей (таким образом система защищена от атак типа “pass the hash” и утилит типа mimikatz). Это означает, что пароли (и/или хэши) пользователей, зарегистрированных в системе, не сможет получить даже пользователь с правами локального администратора.
  • Виртуальный TPM (vTPM) – синтетическое TPM устройство для гостевых машин, необходимое для шифрования содержимого дисков
  • Система контроля целостности кода ОС – защита кода системы от модификации

Для возможности использования режима VSM, к среде предъявляются следующие аппаратные требования:

  • Поддержка UEFI, Secure Boot и Trusted Platform Module (TPM) для безопасного хранения ключей
  • Поддержка аппаратной виртуализации (как минимум VT-x или AMD-V)

Как включить Virtual Secure Mode (VSM) в Windows 10

Рассмотрим, как включить режим Virtual Secure Mode Windows 10 (в нашем примере это Build 10130).


Проверка работы VSM

Убедится, что режим VSM активен можно по наличию процесса Secure System в диспетчере задач.

Или по событию “Credential Guard (Lsalso.exe) was started and will protect LSA credential” в журнале системы.

Тестирование защиты VSM

Итак, на машины с включенным режимом VSM регистрируемся под доменной учетной записью и из-под локального администратора запускаем такую команду mimikatz:

mimikatz.exe privilege::debug sekurlsa::logonpasswords exit

Мы видим, что LSA запущен в изолированной среде и хэши паролей пользователя получить не удается.

Если ту же операцию выполнить на машине с отключенным VSM, мы получаем NTLM хэш пароля пользователя, который можно использовать для атак “pass-the-hash”.

Лучшие статьи по теме